Auf dieser Seite

Du sammelst Gaeste-Daten bei jeder Reservierung, jeder WLAN-Anmeldung und jedem Newsletter-Abo. Aber weisst du, ob du dabei die DSGVO einhaltst? Viele Gastronomen unterschaetzen das Risiko — und riskieren Bussgelder bis zu 20 Millionen Euro.

In diesem Leitfaden zeigen wir dir, worauf du als Gastronom bei Datenschutz achten musst. Kein Juristendeutsch, sondern konkrete Handlungsempfehlungen fuer deinen Alltag.

Welche Gaeste-Daten sammelst du ueberhaupt?

Die meisten Restaurantbesitzer denken bei Datenschutz an Kameras oder Personalakten. Aber du sammelst viel mehr personenbezogene Daten als du denkst:

  • Reservierungen: Name, Telefonnummer, E-Mail, Anzahl Gaeste, besondere Wuensche (Allergien, Geburtstage)
  • Online-Bestellungen: Adresse, Zahlungsdaten, Bestellhistorie
  • Gaeste-WLAN: IP-Adresse, MAC-Adresse, Geraeteinformationen, Surf-Verlauf
  • Videoueberwachung: Aufnahmen von Gaesten und Mitarbeitern
  • Newsletter und Marketing: E-Mail-Adressen, Oeffnungsraten, Klickverhalten
  • Bewertungsportale: Antworten auf Bewertungen mit Gaeste-Bezug
  • Mitarbeiter: Arbeitsvertraege, Krankheitsdaten, Dienstplaene
  • Treueprogramme: Besuchshaeufigkeit, Ausgaben, Vorlieben

Fuer jede dieser Kategorien brauchst du eine Rechtsgrundlage nach DSGVO Art. 6.

Die 5 wichtigsten DSGVO-Pflichten fuer Restaurants

1. Datenschutzerklaerung auf der Webseite

Jede Restaurant-Webseite braucht eine vollstaendige Datenschutzerklaerung. Sie muss erklaeren:

  • Welche Daten du sammelst und warum
  • Wie lange du die Daten speicherst
  • An wen du Daten weitergibst (Reservierungssystem, Google, Newsletter-Tool)
  • Welche Rechte deine Gaeste haben (Auskunft, Loeschung, Widerspruch)
  • Wer fuer den Datenschutz verantwortlich ist (Name und Kontakt)

Nutzt du Google Analytics, ein Reservierungstool wie resmio oder OpenTable, oder ein Newsletter-Tool wie Mailchimp? Dann muessen diese Dienste in der Datenschutzerklaerung stehen — mit Angabe der Rechtsgrundlage.

2. Einwilligungen korrekt einholen

Fuer Marketing-E-Mails brauchst du eine ausdrueckliche Einwilligung (Double-Opt-In). Das heisst: Der Gast traegt seine E-Mail ein, bekommt eine Bestaetigungs-Mail und klickt den Link. Erst dann darfst du Newsletter senden.

Fuer Cookies auf deiner Webseite gilt: Nur technisch notwendige Cookies duerfen ohne Einwilligung gesetzt werden. Alles andere (Tracking, Marketing, Analyse) braucht eine aktive Zustimmung ueber ein Cookie-Banner.

Wichtig: Vorausgefuellte Checkboxen zaehlen nicht als Einwilligung.

3. Auftragsverarbeitungsvertraege abschliessen

Wenn ein externer Dienst Gaeste-Daten fuer dich verarbeitet, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Das betrifft:

  • Reservierungssysteme (resmio, OpenTable, Quandoo)
  • Newsletter-Tools (Mailchimp, CleverReach)
  • Cloud-Speicher (Google Drive, Dropbox)
  • Kassensysteme mit Cloud-Anbindung
  • Buchhaltungssoftware
  • Lieferdienst-Plattformen

Die meisten grossen Anbieter haben fertige AVVs. Du musst sie nur abschliessen und archivieren.

4. Loeschfristen einhalten

Du darfst Gaeste-Daten nicht ewig speichern. Nach DSGVO musst du Daten loeschen, sobald der Zweck erfuellt ist:

  • Reservierungsdaten: Nach dem Restaurantbesuch (ausser fuer Buchhaltung)
  • Rechnungen: 10 Jahre Aufbewahrungspflicht (Steuerrecht)
  • Bewerbungen: 6 Monate nach Absage
  • Videoueberwachung: 48 bis 72 Stunden (ausser bei konkretem Anlass)
  • Newsletter-Abonnenten: Bis zum Widerruf
  • WLAN-Logdaten: 7 Tage (Empfehlung der Aufsichtsbehoerden)

Tipp: Lege einen jaehrlichen Termin fest, an dem du alte Daten pruefst und loeschst.

5. Datenpannen melden

Wenn Gaeste-Daten verloren gehen oder unbefugt eingesehen werden, hast du 72 Stunden Zeit, das der Datenschutzbehoerde zu melden. Das gilt auch bei:

  • Gehackten E-Mail-Konten mit Gaeste-Daten
  • Verlorenen Laptops oder USB-Sticks mit Reservierungslisten
  • Fehlgeleiteten E-Mails mit persoenlichen Daten
  • Ransomware-Angriffen auf dein Kassensystem

Dokumentiere den Vorfall sofort: Was ist passiert, welche Daten sind betroffen, welche Massnahmen hast du ergriffen.

Gaeste-WLAN und DSGVO

Kostenloses WLAN ist ein beliebter Service fuer Gaeste. Aber auch hier gelten Datenschutzregeln:

  • Informiere Gaeste vor der Anmeldung, welche Daten du sammelst
  • Speichere keine Surf-Verlaeufe laenger als noetig
  • Nutze ein separates Netzwerk (nicht dein Geschaeftsnetzwerk)
  • Aktiviere die Verschluesselung (WPA3 oder mindestens WPA2)
  • Loesche Login-Daten nach spaetestens 7 Tagen

Wenn du ein Captive Portal mit Social-Login (Facebook, Google) verwendest, sammelst du zusaetzliche personenbezogene Daten. Das erhoet deine DSGVO-Pflichten erheblich.

Videoueberwachung im Restaurant

Kameras in Gastraeumen sind ein heikles Thema. Grundsaetzlich gilt:

  • Du brauchst ein berechtigtes Interesse (Diebstahlschutz, Vandalismus)
  • Gaeste muessen vor Betreten informiert werden (Schild am Eingang)
  • Toiletten, Umkleiden und Pausenraeume duerfen nie ueberwacht werden
  • Aufnahmen muessen nach 48 bis 72 Stunden geloescht werden
  • Eine Datenschutz-Folgenabschaetzung kann erforderlich sein

Verdeckte Kameras sind in Deutschland grundsaetzlich verboten — auch wenn du Diebstahl durch Mitarbeiter vermutest.

Haeufige DSGVO-Fehler in der Gastronomie

Diese Fehler sehen wir immer wieder:

  1. Reservierungslisten offen am Tresen — Andere Gaeste koennen Namen und Telefonnummern sehen
  2. WhatsApp fuer Reservierungen — WhatsApp teilt Kontaktdaten mit Meta (USA). Ohne AVV und Einwilligung ist das problematisch
  3. Alte Gaeste-Daten nie loeschen — Reservierungssysteme sammeln jahrelang Daten an
  4. Kein Cookie-Banner auf der Webseite — Google Analytics ohne Einwilligung ist ein Bussgeldrisiko
  5. Fotos von Gaesten in Social Media — Ohne Einwilligung darfst du keine erkennbaren Gaeste posten
  6. Mitarbeiterdaten unsicher gespeichert — Personalakten auf dem geteilten Computer ohne Passwort

Checkliste: DSGVO fuer dein Restaurant

  • [ ] Datenschutzerklaerung auf der Webseite aktuell und vollstaendig
  • [ ] Cookie-Banner mit Opt-In fuer Tracking-Cookies
  • [ ] AVVs mit allen Dienstleistern abgeschlossen
  • [ ] Double-Opt-In fuer Newsletter eingerichtet
  • [ ] Loeschkonzept dokumentiert und jaehrlich umgesetzt
  • [ ] Mitarbeiter zum Datenschutz geschult
  • [ ] Verarbeitungsverzeichnis erstellt
  • [ ] Datenschutzbeauftragter benannt (ab 20 Mitarbeitern Pflicht)
  • [ ] Gaeste-WLAN datenschutzkonform konfiguriert
  • [ ] Videoueberwachung dokumentiert und beschildert

FAQ

Braucht mein Restaurant einen Datenschutzbeauftragten?

Wenn mindestens 20 Mitarbeiter regelmaessig personenbezogene Daten verarbeiten, brauchst du einen Datenschutzbeauftragten. Das kann ein geschulter Mitarbeiter oder ein externer Dienstleister sein.

Darf ich Gaeste nach ihren Allergien fragen?

Ja — das ist sogar deine Pflicht nach der Lebensmittelinformationsverordnung. Aber du darfst die Gesundheitsdaten nur fuer die Zubereitung nutzen und musst sie danach loeschen. Allergien in der Reservierungsnotiz zu speichern ist problematisch, wenn du sie nicht nach dem Besuch loeschst.

Was passiert bei einem DSGVO-Verstoss?

Die Aufsichtsbehoerde kann Bussgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes verhaengen. In der Praxis liegen Bussgelder fuer kleine Restaurants bei 500 bis 10.000 Euro. Hinzu kommen Abmahnungen durch Wettbewerber oder Verbraucherschutzvereine.

Muss ich Gaeste-Bewertungen loeschen, wenn der Gast es verlangt?

Nicht automatisch. Bewertungen fallen unter Meinungsfreiheit. Aber wenn eine Bewertung unwahre Tatsachenbehauptungen enthaelt oder personenbezogene Daten des Gastes offenlegt, kann ein Loeschanspruch bestehen. Google und die Bewertungsportale haben eigene Meldeprozesse dafuer.